Conectar trabalhos do Stream Analytics a recursos em uma Rede Virtual (VNET) do Azure
Os trabalhos do Stream Analytics fazem conexões de saída com os recursos de entrada e de saída do Azure para processar dados em tempo real e produzir resultados. Esses recursos de entrada e saída (por exemplo, Hubs de Eventos do Azure e Banco de Dados SQL do Azure) podem estar atrás de um firewall do Azure ou em uma Rede Virtual (VNet) do Azure. O serviço do Stream Analytics opera a partir de redes que não podem ser incluídas diretamente nas suas regras de rede.
No entanto, há duas maneiras de conectar seus trabalhos do Stream Analytics com segurança aos recursos de entrada e saída nesses cenários.
- Executar seu trabalho do Azure Stream Analytics em uma Rede Virtual do Azure (versão prévia pública)
- Pontos de extremidade privados em clusters do Stream Analytics.
- Usar o modo de autenticação de identidade gerenciada em conjunto com a configuração de rede "Permitir serviços confiáveis".
Seu trabalho do Stream Analytics não aceita nenhuma conexão de entrada.
Executar seu trabalho do Azure Stream Analytics em uma Rede Virtual do Azure (versão prévia pública)
A compatibilidade com a rede virtual (VNet) permite isolar o acesso do Azure Stream Analytics à infraestrutura de rede virtual. Essa capacidade traz os benefícios do isolamento de rede e pode ser realizada implantando uma instância conteinerizada do seu trabalho do ASA dentro da sua Rede Virtual. Seu trabalho do ASA injetado na VNet pode acessar seus recursos de forma privada na rede virtual por meio de:
- Pontos de extremidade privados, que conectam seu trabalho do ASA injetado na VNet às fontes de dados por links privados alimentados pelo Link Privado do Azure.
- Pontos de extremidade de serviço, que conectam suas fontes de dados ao trabalho do ASA injetado na VNet.
- Marcas de serviço, que permitem ou negam o tráfego para o Azure Stream Analytics.
Atualmente, essa capacidade só está disponível em regiões selecionadas. Visite essa página para obter a lista mais recente de regiões habilitadas para VNET e como solicitá-la em sua região.
Pontos de extremidade privados em clusters do Stream Analytics.
Os clusters do Stream Analytics são um cluster de computação dedicado de locatário único onde você pode executar seus trabalhos do Stream Analytics. Você pode criar pontos de extremidade privados gerenciados em seu cluster do Stream Analytics, o que permite que todos os trabalhos em execução no cluster criem uma conexão de saída segura com seus recursos de entrada e saída.
A criação de pontos de extremidade privados no cluster do Stream Analytics é uma operação de duas etapas. Essa opção é mais adequada para cargas de trabalho de streaming médias a grandes, pois o tamanho mínimo de um cluster do Stream Analytics é 12 SU V2 ou 36 SU V1s (SUs podem ser compartilhados por diferentes trabalhos em várias assinaturas ou ambientes como desenvolvimento, teste e produção). Para saber mais, consultePreços do Azure Stream Analytics.
Autenticação de identidade gerenciada com a configuração 'Permitir serviços confiáveis'
Alguns serviços do Azure fornecem uma configuração de rede para Permitir serviços confiáveis da Microsoft que, quando habilitada, permite que seus trabalhos do Stream Analytics se conectem com segurança ao recurso usando autenticação forte. Essa opção permite que você conecte seus trabalhos aos recursos de entrada e saída sem que sejam necessários um cluster do Stream Analytics cluster e pontos de extremidade privados. Configurar seu trabalho para usar essa técnica é uma operação de duas etapas:
- Use o modo de autenticação de identidade gerenciada ao configurar entrada ou saída em seu trabalho do Stream Analytics.
- Conceda a seus trabalhos específicos do Stream Analytics acesso explícito aos recursos de destino atribuindo uma função do Azure à identidade gerenciada atribuída pelo sistema do trabalho.
A habilitação de Permitir serviços confiáveis da Microsoft não concede acesso amplo a nenhum trabalho. Com isso, você tem controle total sobre quais trabalhos específicos do Stream Analytics podem acessar seus recursos com segurança.
Seus trabalhos podem se conectar aos seguintes serviços do Azure usando essa técnica:
- Armazenamento de Blobs ou Azure Data Lake Storage Gen2 - podem ser a conta de armazenamento do seu trabalho ou a entrada ou saída de streaming.
- Hubs de Eventos do Azure – pode ser a entrada ou saída de streaming do seu trabalho.
Se os trabalhos precisarem se conectar a outros tipos de entrada ou de saída, você poderá primeiro gravar do Stream Analytics para a saída do Hubs de Eventos e, em seguida, para qualquer destino de sua escolha usando o Azure Functions. Se você quiser gravar diretamente do Stream Analytics para outros tipos de saída protegidos em uma VNet ou em um firewall, a única opção será usar pontos de extremidade privados em clusters do Stream Analytics.